Gestão de risco

Neste capítulo é descrito o ciclo de vida do risco, e como é que o mesmo deve ser abordado numa organização.

2.2.1 O que é o risco

O risco é considerado como o efeito da incerteza de um evento que pode ocorrer na persecução dos objetivos (International Organization for Standardization, 2009), sendo que no contexto deste trabalho serão apenas considerados riscos com impacto negativo. De acordo com o RGPD, na implicação (75), o risco é descrito da seguinte forma (Council of the European Union, 2016):

"O risco para os direitos e liberdades das pessoas singulares, [...], poderá resultar de operações de tratamento de dados pessoais suscetíveis de causar danos físicos, materiais ou imateriais, …"

No contexto do RGPD, a probabilidade e impacto do risco dos direitos e liberdades dos titulares dos dados deve ser determinado com base na natureza, âmbito, contexto e propósito dos processos que envolvem tratamento dos dados pessoais. Como tal deve-se procurar identificar os riscos a que esses processos estão sujeitos e as vulnerabilidades que possam ser exploradas.

2.2.2 Processo de gestão do risco

O processo de gestão do risco é o processo da identificação e análise dos riscos, neste caso relacionados com processos que tratam dados pessoais, e os passos que se

tomam para reduzir o risco para um nível aceitável. De acordo com a ISO 27005 (International Organization for Standardization, 2011) o processo de gestão de risco, apresentado na Figura 1 - Fases do processo de gestão do risco, é composto pelas seguintes fases:

1. Definição do contexto: A fase de definição do contexto serve para definir o

âmbito da realização da gestão do risco e ainda os critérios sobre os quais se vai avaliar o risco. O âmbito desta fase deve ser alinhado com o contexto e objetivos da organização;

2. Análise de riscos: Nesta fase determina-se o valor dos ativos, identifica-se as

ameaças e vulnerabilidades, os controlos existentes e os seus efeitos nos riscos identificados, determina-se as suas potenciais consequências, e finalmente prioriza-se os riscos identificados. Esta fase divide-se em 3 subfases:

a. Identificação de riscos: Aqui pretende-se determinar o que é que pode

vir a ocorrer que possa causar potenciais perdas e tentar perceber como e porque é que essas perdas podem acontecer;

b. Estimativa de riscos: Nesta atividade o objetivo é determinar o valor

dos riscos através da análise das componentes que permitem determinar esse valor, como a probabilidade de ocorrência e o impacto dos riscos;

c. Avaliação de riscos: Tendo como input os riscos estimados do passo

anterior, são comparados os níveis de risco obtidos com os critérios de avaliação e aceitação de risco definidos durante o estabelecimento do contexto;

3. Tratamento do risco: Nesta fase são determinados os controlos para reduzir,

manter, evitar ou partilhar os riscos e define-se um plano de implementação;

4. Aceitação do risco: Chegando à fase de aceitação do risco, toma-se a decisão

de se aceitar ou não o plano de tratamento ao risco, com base nos riscos residuais que poderão subsistir;

5. Comunicação do risco: Na fase de comunicação e consulta essencialmente

trocam-se informações sobre os riscos entre os responsáveis pelas tomadas de decisões e pelos stakeholders com o intuito de todas as partes envolvidas terem conhecimento dos riscos existentes e das tomadas de decisões;

6. Monitorização e análise crítica de riscos: Os riscos e respetivos fatores devem

ser monitorizados e revistos por forma a dar continuidade ao ciclo de vida da gestão do risco.

Figura 1 - Fases do processo de gestão do risco. Fonte: ISO 27005, figura 1.

A gestão do risco é um processo contínuo que deve fazer parte da estratégia da organização, endereçando os riscos relacionados com as atividades da mesma. Esta gestão deve ser integrada na cultura da organização com uma política e programa efetivos que traduzem a estratégia em objetivos táticos e operacionais, permitindo definir responsáveis pelos riscos. Esta gestão deve permitir às organizações minimizar o risco por forma a estar alinhado com o seu apetite ao risco, ou seja, a "quantidade" e natureza do risco que as organizações estão dispostas a aceitar.

Com uma gestão de risco já integrada na cultura de uma organização, torna mais fácil e transparente a implementação das Avaliações de Impacto de Proteção de Dados nas suas atividades de processamento de dados pessoais.

2.2.3 Fatores de risco

O risco é constituído por um conjunto de fatores que juntos podem dar origem a um evento inesperado que irá causar um impacto, sendo no contexto deste trabalho, o impacto nos titulares dos dados pessoais.

Um ativo, por exemplo dados pessoais na posse de uma organização, pode estar sujeito ao risco através de uma ou mais vulnerabilidades, que são exploradas através de ameaças (p.e., vírus) por agentes de ameaça (p.e., hackers). A partir deste ciclo é possível calcular o risco associado aos dados pessoais (ISACA, 2015).

Figura 2 - Fatores de risco. Fonte: CRISC 2015, figura 1.15

Na figura 2 podemos observar a sequência dos fatores principais associados ao risco, sendo o risco consequência da possibilidade de ocorrência dos três primeiros fatores, permitindo desta forma a realização de uma análise de risco mais precisa.

Neste trabalho a abordagem face aos riscos é orientada aos processos de tratamento de dados, de acordo com as guias de orientação definidas pelo regulamento. Como tal na imagem descrita em cima, a caixa “Ativos” representa os processos que tratam dados pessoais e respetivos dados pessoais, para os quais serão identificados e classificados os riscos e vulnerabilidades em função desses tipos de processos.

2.2.4 Risco elevado

Risco elevado é um conceito que apesar de não estar claramente definido no RGPD, tem referências em alguns artigos e implicações.

Através de informação extraída ao longo do regulamento é possível indicar o risco elevado como resultado da consideração de um conjunto de critérios envolvendo a

segurança dos dados, potencial de uma fuga de informação, garantia de privacidade, limitação dos propósitos e motivos do processamento. Alguns exemplos de tipos de processamentos que podem ser considerados como risco elevado são descritos posteriormente neste capítulo.

Como tal o risco elevado no contexto deste trabalho irá ser definido como um risco que possa resultar em consequências significantes para um titular dos dados, em que este possa ter dificuldades sérias para superar essas consequências. Este tema será mais desenvolvido no capítulo 3, durante a avaliação dos riscos.